Postfix - Ignorar RBL verifica após uma passagem de SPF

1

Eu comecei a usar o policyd-spf e estou usando a seguinte restrição de destinatário. O que eu gostaria é que os remetentes passem a verificação do SPF para pular as verificações de RBL. Infelizmente isso não está acontecendo.

  smtpd_recipient_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_non_fqdn_sender,
    reject_non_fqdn_recipient,
    reject_unauth_destination,
    reject_unauth_pipelining,
    reject_invalid_hostname,
    check_policy_service unix:private/policy-spf
    check_sender_access mysql:/etc/postfix/mysql_sender_checks.cf
    reject_rbl_client zen.spamhaus.org,
    reject_rbl_client bl.spamcop.net,
    reject_rbl_client cbl.abuseat.org,
    reject_rbl_client dnsbl.sorbs.net

As verificações de SPF com falha estão sendo corretas, mas como você pode ver no syslog - policyd-spf está dizendo que passou, mas continua com as verificações de RBL:

Mar 29 13:15:51 policyd-spf[6442]: Pass; identity=mailfrom; client-ip=69.171.232.144; helo=mx-out.facebook.com; envelope-from=REDACTED; receiver=REDACTED
Mar 29 13:15:51 postfix/smtpd[5971]: NOQUEUE: reject: RCPT from 69-171-232-144.outmail.facebook.com[69.171.232.144]: 554 5.7.1 Service unavailable; Client host [69.171.232.144] blocked using dnsbl.sorbs.net; Currently Sending Spam See: http://www.sorbs.net/lookup.shtml?69.171.232.144; from=<REDACTED> to=<REDACTED> proto=ESMTP helo=<mx-out.facebook.com>

Existe alguém familiarizado com o postfix-policyd-spf-python e, se puder, pode explicar por que ele não está funcionando como esperado.

Usando:

Debian GNU/Linux 7
Linux XXXXX 3.2.0-4-amd64 #1 SMP Debian 3.2.82-1 x86_64 GNU/Linux
Postfix 2.9.6-2
postfix-policyd-spf-python 1.0.2
    
por oobayly 29.03.2017 / 15:09

1 resposta

1

De acordo com os registros, a mensagem foi rejeitada pela lista dnsbl.sorbs.net .

Como descrito na Introdução, em Usando o SORBS

As a prospective user of the SORBS lists the most important question you need to ask yourself is: Do I understand the listing criteria for the list(s) I plan to use?

Then, you have a number of choices/decisions to make:

  1. How aggressive at stopping spam do you want to be?
  2. Do you want to trust the SORBS admins as well as a testing script?
  3. Do you trust the scripts the SORBS admins employ to identify badly configured hosts?

A lista dnsbl.sorbs.net é uma zona agregada contendo todas as zonas SORBS, exceto spam.dnsbl.sorbs.net). Isso significa que sua configuração é altamente agressiva ao interromper o spam, ou seja, você provavelmente terá falsos positivos, como você já fez.

Embora seja verdade que (de Parâmetros de configuração do Postfix , smtpd_recipient_restrictions )

Restrictions are applied in the order as specified; the first restriction that matches wins.

o check_policy_service faz com que o envio de uma consulta ao servidor de políticas especificado não seja direcionado diretamente por reject ou permit . Em seguida, seu python-policyd-spf pode retornar reject if PermError_reject = True , caso contrário, ele apenas adicionará Received-SPF nas restrições de cabeçalho e processamento.

Você deve ler o Usando o SORBS para obter uma lista de zonas disponíveis. Em seguida, você pode decidir quais zonas melhor atendem às suas necessidades e adicioná-las separadamente, por exemplo,

smtpd_recipient_restrictions =
    . . .
    reject_rbl_client relays.dnsbl.sorbs.net,
    reject_rbl_client web.dnsbl.sorbs.net,
    reject_rbl_client escalations.dnsbl.sorbs.net,
    reject_rbl_client block.dnsbl.sorbs.net,
    reject_rbl_client zombie.dnsbl.sorbs.net,
    reject_rbl_client dul.dnsbl.sorbs.net,
    reject_rbl_client noserver.dnsbl.sorbs.net,
    reject_rbl_client rhsbl.sorbs.net,
    . . .

ou você pode trocar dnsbl.sorbs.net para zona de agregação menos agressiva safe.dnsbl.sorbs.net .

    
por 29.03.2017 / 16:13